fix #2773: ebtables: keep policy of custom chains
[pve-firewall.git] / debian / changelog
1 pve-firewall (4.1-2) pve; urgency=medium
2
3   * revert: rules: verify referenced security group exists
4
5  -- Proxmox Support Team <support@proxmox.com>  Wed, 06 May 2020 17:41:36 +0200
6
7 pve-firewall (4.1-1) pve; urgency=medium
8
9   * logging: add missing log message for inbound rules
10
11   * fix #2686: avoid adding 'arp-ip-src' IP filter if guests uses DHCP
12
13   * IPSets: parse the CIDR before checking for duplicates
14
15   * verify that a referenced security group exists
16
17   * ICMP: fix iptables-restore failing if ICMP-type values bigger than '255'
18
19   * ICMP: allow one to specify the 'echo-reply' (0) type also as integer
20
21   * improve handling concurrent (parallel) access and modifications to rules
22
23  -- Proxmox Support Team <support@proxmox.com>  Mon, 04 May 2020 15:01:57 +0200
24
25 pve-firewall (4.0-10) pve; urgency=medium
26
27   * macros: add macro for Proxmox Mail Gateway web interface
28
29   * api node: always pass cluster conf to node FW parser to fix false positive
30     error message about non existing aliases, or IP sets, when querying the
31     node FW options GET API call.
32
33   * grammar fix: s/does not exists/does not exist/g
34
35  -- Proxmox Support Team <support@proxmox.com>  Mon, 27 Jan 2020 19:25:49 +0100
36
37 pve-firewall (4.0-9) pve; urgency=medium
38
39   * ensure port range used for offline storage migration and insecure migration
40     traffic is allowed by default rule set.
41
42  -- Proxmox Support Team <support@proxmox.com>  Tue, 03 Dec 2019 08:12:20 +0100
43
44 pve-firewall (4.0-8) pve; urgency=medium
45
46   * increase default nf_conntrack_max to the kernel's default
47
48   * fix some "use of uninitialized value" warnings when updating CIDRs
49
50   * update schema documentation
51
52   * add explicit dependency on libpve-cluster-perl
53
54   * add support for "raw" tables
55
56   * add options for synflood protection for host firewall:
57     - nf_conntrack_tcp_timeout_syn_recv
58     - protection_synflood: boolean
59     - protection_synflood_rate: SYN rate limit (default 200 per second)
60     - protection_synflood_burst: SYN burst limit (default 1000)
61
62  -- Proxmox Support Team <support@proxmox.com>  Mon, 18 Nov 2019 13:48:20 +0100
63
64 pve-firewall (4.0-7) pve; urgency=medium
65
66   * only add VM chains and rules if VM firewall is enabled
67
68  -- Proxmox Support Team <support@proxmox.com>  Wed, 7 Aug 2019 10:55:06 +0200
69
70 pve-firewall (4.0-6) pve; urgency=medium
71
72   * firewall macros: add new Ceph protocol v2 port while keeping v1 port
73
74  -- Proxmox Support Team <support@proxmox.com>  Tue, 23 Jul 2019 18:57:48 +0200
75
76 pve-firewall (4.0-5) pve; urgency=medium
77
78   * don't use any base path at all for calls to external binaries to make use
79     compativle with bot, /usr merged and unmerged setups
80
81  -- Proxmox Support Team <support@proxmox.com>  Fri, 12 Jul 2019 11:47:53 +0200
82
83 pve-firewall (4.0-4) pve; urgency=medium
84
85   * ebtables: remove PVE chains properly
86
87   * ebtables: treat chain deletion as change
88
89   * use /usr/sbin as base path
90
91  -- Proxmox Support Team <support@proxmox.com>  Thu, 11 Jul 2019 19:40:01 +0200
92
93 pve-firewall (4.0-3) pve; urgency=medium
94
95   * Create corosync firewall rules independently of localnet~
96
97   * Display corosync rule info on localnet call
98
99  -- Proxmox Support Team <support@proxmox.com>  Thu, 04 Jul 2019 15:56:11 +0200
100
101 pve-firewall (4.0-2) pve; urgency=medium
102
103   * fix systemd warning about PIDFile directory
104
105   * fix CT rule generation with ipfilter set
106
107   * pve-firewall service: update-alternative iptables and ebtables to working
108     legacy versions
109
110  -- Proxmox Support Team <support@proxmox.com>  Mon, 24 Jun 2019 20:43:21 +0200
111
112 pve-firewall (4.0-1) pve; urgency=medium
113
114   * re-build for Debian Buster / PVE 6
115
116  -- Proxmox Support Team <support@proxmox.com>  Tue, 21 May 2019 22:28:55 +0200
117
118 pve-firewall (3.0-21) unstable; urgency=medium
119
120   * fix ipv6 PVEFW-reject
121
122   * fix #2193: arpfilter: CT: remove mask from net IP/CIDR to avoid
123     ebtables doing the wrong thing here
124
125  -- Proxmox Support Team <support@proxmox.com>  Wed, 08 May 2019 10:09:31 +0000
126
127 pve-firewall (3.0-20) unstable; urgency=medium
128
129   * use IPCC to read config and rule files, if the are backed by pmxcfs which
130     has better handling for pmxcfs restarts
131
132   * fix #2178: endless loop on ipv6 extension headers
133
134  -- Proxmox Support Team <support@proxmox.com>  Fri, 19 Apr 2019 05:10:13 +0000
135
136 pve-firewall (3.0-19) unstable; urgency=medium
137
138   * ebtables: add arp filtering
139
140   * fix: #2123 Logging of user defined firewall rules
141
142   * fix Razor macro
143
144   * allow to enable/disable and modify cluster wide log ratelimits
145
146  -- Proxmox Support Team <support@proxmox.com>  Tue, 02 Apr 2019 11:15:16 +0200
147
148 pve-firewall (3.0-18) unstable; urgency=medium
149
150   * fix #1606: Add nf_conntrack_allow_invalid option
151
152   * log reject : add space after policy REJECT like drop
153
154   * fix #1891: Add zsh command completion for pve-firewall
155
156  -- Proxmox Support Team <support@proxmox.com>  Mon, 04 Mar 2019 10:27:01 +0100
157
158 pve-firewall (3.0-17) unstable; urgency=medium
159
160   * fix #2005: only allow ascii port digits
161
162   * fix #2004: do not allow backwards ranges
163
164   * add conntrack logging via libnetfilter_conntrack and allow one to enable
165     it through the firewall host configuration
166
167  -- Proxmox Support Team <support@proxmox.com>  Wed, 09 Jan 2019 16:56:17 +0100
168
169 pve-firewall (3.0-16) unstable; urgency=medium
170
171   * api/rules: fix macro return type
172
173  -- Proxmox Support Team <support@proxmox.com>  Fri, 30 Nov 2018 16:02:59 +0100
174
175 pve-firewall (3.0-15) unstable; urgency=medium
176
177   * fix #1971: display firewall rule properties
178
179  -- Proxmox Support Team <support@proxmox.com>  Fri, 23 Nov 2018 14:01:33 +0100
180
181 pve-firewall (3.0-14) unstable; urgency=medium
182
183   * fix #1841: avoid ebtable reloads when containers have multiple network
184     interfaces
185
186  -- Proxmox Support Team <support@proxmox.com>  Fri, 24 Aug 2018 10:51:04 +0200
187
188 pve-firewall (3.0-13) unstable; urgency=medium
189
190   * avoid unnecessary reloads of ebtable ruleset
191
192  -- Proxmox Support Team <support@proxmox.com>  Thu, 28 Jun 2018 14:47:16 +0200
193
194 pve-firewall (3.0-12) unstable; urgency=medium
195
196   * fix deleted iptables chains not being properly detected as a change
197
198  -- Proxmox Support Team <support@proxmox.com>  Tue, 12 Jun 2018 12:01:02 +0200
199
200 pve-firewall (3.0-11) unstable; urgency=medium
201
202   * #1764: rename 'ebtales_enable' option to 'ebtables'
203
204  -- Proxmox Support Team <support@proxmox.com>  Wed, 06 Jun 2018 16:18:13 +0200
205
206 pve-firewall (3.0-10) unstable; urgency=medium
207
208   * fix #1764: handle existing ebtables rules and allow disabling ebtables
209
210   * ebtables handling can be disabled via /etc/pve/firewall/cluster.fw's new
211     ebtables_enable option.
212
213  -- Proxmox Support Team <support@proxmox.com>  Tue, 29 May 2018 15:14:33 +0200
214
215 pve-firewall (3.0-9) unstable; urgency=medium
216
217   * fix creation of ebltables FORWARD rule entry
218
219  -- Proxmox Support Team <support@proxmox.com>  Thu, 17 May 2018 14:41:27 +0200
220
221 pve-firewall (3.0-8) unstable; urgency=medium
222
223   * add ebtables support for better MAC filtering
224
225  -- Proxmox Support Team <support@proxmox.com>  Wed, 11 Apr 2018 14:25:41 +0200
226
227 pve-firewall (3.0-7) unstable; urgency=medium
228
229   * support distinct source and destination multi-port matching
230
231   * multi-port matching: when specifying the same list of ports for source and
232     destination require them both to match, rather than one of them, as this
233     was rather unexpected behavior
234
235  -- Proxmox Support Team <support@proxmox.com>  Mon, 12 Mar 2018 14:58:08 +0100
236
237 pve-firewall (3.0-6) unstable; urgency=medium
238
239   * fix #1319: don't fail postinst with masked service
240
241   * debian: switch to compat 9, drop init scripts, drop preinst
242
243   * check multiport limit in port ranges
244
245   * build: use git rev-parse for GITVERSION
246
247  -- Proxmox Support Team <support@proxmox.com>  Thu, 08 Mar 2018 13:53:11 +0100
248
249 pve-firewall (3.0-5) unstable; urgency=medium
250
251   * fix issue with disabled flag not being honored within groups
252
253  -- Proxmox Support Team <support@proxmox.com>  Thu, 07 Dec 2017 08:31:42 +0100
254
255 pve-firewall (3.0-4) unstable; urgency=medium
256
257   * fix issues with ipsets reloading unnecessarily or too late
258
259   * fix some typos in the logs
260
261  -- Proxmox Support Team <support@proxmox.com>  Thu, 16 Nov 2017 11:41:56 +0100
262
263 pve-firewall (3.0-3) unstable; urgency=medium
264
265   * Fix #1492: logger: use current timestamp if the packet doesn't have one
266
267  -- Proxmox Support Team <support@proxmox.com>  Tue, 12 Sep 2017 14:43:06 +0200
268
269 pve-firewall (3.0-2) unstable; urgency=medium
270
271   * Fix #1446: remove masks in case the package had previously been removed but
272     not purged.
273
274   * improve logging on errors in the firewall configuration
275
276   * forbid trailing commas in lists as iptables-restore doesn't support them
277
278  -- Proxmox Support Team <support@proxmox.com>  Mon, 17 Jul 2017 15:24:40 +0200
279
280 pve-firewall (3.0-1) unstable; urgency=medium
281
282   * rebuild for Debian Stretch
283
284  -- Proxmox Support Team <support@proxmox.com>  Thu, 9 Mar 2017 14:04:17 +0100
285
286 pve-firewall (2.0-33) unstable; urgency=medium
287
288   * ipset: don't allow zero-prefix entries
289
290  -- Proxmox Support Team <support@proxmox.com>  Tue, 29 Nov 2016 12:18:04 +0100
291
292 pve-firewall (2.0-32) unstable; urgency=medium
293
294   * improve search for local-network
295
296  -- Proxmox Support Team <support@proxmox.com>  Tue, 29 Nov 2016 06:35:08 +0100
297
298 pve-firewall (2.0-31) unstable; urgency=medium
299
300   * don't try to apply ports to rules which don't support them
301
302  -- Proxmox Support Team <support@proxmox.com>  Thu, 06 Oct 2016 08:31:51 +0200
303
304 pve-firewall (2.0-30) unstable; urgency=medium
305
306   * add multicast DNS to the list of Macros
307
308   * add missing parameter descriptions
309
310   * build-depends: add dh-systemd
311
312  -- Proxmox Support Team <support@proxmox.com>  Fri, 16 Sep 2016 08:53:16 +0200
313
314 pve-firewall (2.0-29) unstable; urgency=medium
315
316   * prevent overwriting ipsets/sec. groups by renaming
317
318  -- Proxmox Support Team <support@proxmox.com>  Fri, 03 Jun 2016 16:46:10 +0200
319
320 pve-firewall (2.0-28) unstable; urgency=medium
321
322   * use pve-common's ipv4_mask_hash_localnet
323
324   * fix allowed group name length
325
326   * make group digest stable
327
328  -- Proxmox Support Team <support@proxmox.com>  Fri, 03 Jun 2016 11:01:47 +0200
329
330 pve-firewall (2.0-27) unstable; urgency=medium
331
332   * fix #972: make PVEFW-FWBR-* rule order stable
333
334  -- Proxmox Support Team <support@proxmox.com>  Tue, 17 May 2016 07:59:52 +0200
335
336 pve-firewall (2.0-26) unstable; urgency=medium
337
338   * fix #988: set rp_filter=2
339
340  -- Proxmox Support Team <support@proxmox.com>  Mon, 09 May 2016 10:01:28 +0200
341
342 pve-firewall (2.0-25) unstable; urgency=medium
343
344   * fix #945: add uninitialized check in lxc ipset compilation
345
346  -- Proxmox Support Team <support@proxmox.com>  Thu, 21 Apr 2016 09:58:33 +0200
347
348 pve-firewall (2.0-24) unstable; urgency=medium
349
350   * Build-Depend on pve-doc-generator
351
352   * generate manpage with pve-doc-generator
353
354  -- Proxmox Support Team <support@proxmox.com>  Wed, 06 Apr 2016 10:52:45 +0200
355
356 pve-firewall (2.0-23) unstable; urgency=medium
357
358   * use only the top bit for our accept marks
359
360  -- Proxmox Support Team <support@proxmox.com>  Fri, 01 Apr 2016 07:35:38 +0200
361
362 pve-firewall (2.0-22) unstable; urgency=medium
363
364   * Use cfs_config_path from PVE::QemuConfig
365
366  -- Proxmox Support Team <support@proxmox.com>  Tue, 08 Mar 2016 11:47:40 +0100
367
368 pve-firewall (2.0-21) unstable; urgency=medium
369
370   * added new 'ipfilter' option
371
372  -- Proxmox Support Team <support@proxmox.com>  Thu, 03 Mar 2016 09:43:39 +0100
373
374 pve-firewall (2.0-20) unstable; urgency=medium
375
376   * fix 901: encode unicode characters in sha digest
377
378  -- Proxmox Support Team <support@proxmox.com>  Mon, 29 Feb 2016 12:40:14 +0100
379
380 pve-firewall (2.0-19) unstable; urgency=medium
381
382   * Add radv option to VM options
383
384  -- Proxmox Support Team <support@proxmox.com>  Sat, 27 Feb 2016 10:24:42 +0100
385
386 pve-firewall (2.0-18) unstable; urgency=medium
387
388   * Add ndp option to host and VM firewall options
389
390   * Add router-solicitation to NeighborDiscovery macro
391
392  -- Proxmox Support Team <support@proxmox.com>  Fri, 19 Feb 2016 10:01:22 +0100
393
394 pve-firewall (2.0-17) unstable; urgency=medium
395
396   * Don't leave empty FW config files behind
397
398  -- Proxmox Support Team <support@proxmox.com>  Mon, 08 Feb 2016 14:09:24 +0100
399
400 pve-firewall (2.0-16) unstable; urgency=medium
401
402   * logger: basic ipv6 support
403
404   * add DHCPv6 macro
405
406   * add dhcpv6 support to the dhcp option
407
408  -- Proxmox Support Team <support@proxmox.com>  Tue, 26 Jan 2016 16:52:14 +0100
409
410 pve-firewall (2.0-15) unstable; urgency=medium
411
412   * fix bug #859: use $security_group_name_pattern in iptables_get_chains
413
414   * fix some regular expressions mixups
415
416  -- Proxmox Support Team <support@proxmox.com>  Thu, 07 Jan 2016 16:33:23 +0100
417
418 pve-firewall (2.0-14) unstable; urgency=medium
419
420   * fix systemd service dependencies
421
422  -- Proxmox Support Team <support@proxmox.com>  Fri, 27 Nov 2015 10:52:57 +0100
423
424 pve-firewall (2.0-13) unstable; urgency=medium
425
426   * allow numeric icmp types
427
428  -- Proxmox Support Team <support@proxmox.com>  Fri, 23 Oct 2015 13:21:53 +0200
429
430 pve-firewall (2.0-12) unstable; urgency=medium
431
432   * implement bash completions
433
434   * convert pve-firewall into a PVE::Service class
435
436  -- Proxmox Support Team <support@proxmox.com>  Thu, 24 Sep 2015 12:15:00 +0200
437
438 pve-firewall (2.0-11) unstable; urgency=medium
439
440   * iptables_get_chains: fix veth device name
441
442  -- Proxmox Support Team <support@proxmox.com>  Tue, 08 Sep 2015 07:54:35 +0200
443
444 pve-firewall (2.0-10) unstable; urgency=medium
445
446   * new helper: clone_vmfw_conf() 
447
448  -- Proxmox Support Team <support@proxmox.com>  Tue, 25 Aug 2015 06:47:49 +0200
449
450 pve-firewall (2.0-9) unstable; urgency=medium
451
452   * remove firewall config file subroutine added
453
454  -- Proxmox Support Team <support@proxmox.com>  Wed, 19 Aug 2015 15:42:51 +0200
455
456 pve-firewall (2.0-8) unstable; urgency=medium
457
458   * adopt regresion tests for lxc containers
459
460   * removed firewall code for openVZ
461
462   *  Subroutine verify_rule fixed to correctly check only for "net\d+"
463   interface device names
464
465  -- Proxmox Support Team <support@proxmox.com>  Wed, 12 Aug 2015 12:01:43 +0200
466
467 pve-firewall (2.0-7) unstable; urgency=medium
468
469   * added firewall code for lxc
470
471  -- Proxmox Support Team <support@proxmox.com>  Mon, 10 Aug 2015 09:21:14 +0200
472
473 pve-firewall (2.0-6) unstable; urgency=medium
474
475   * firewall ipversion comparison fix
476
477  -- Proxmox Support Team <support@proxmox.com>  Tue, 04 Aug 2015 11:14:51 +0200
478
479 pve-firewall (2.0-5) unstable; urgency=medium
480
481   * add ipv6 neighbor discovery and solicitation macros
482
483   * ip6tables accepts both spellings of the word neighbor
484
485   * added Ceph macro
486
487  -- Proxmox Support Team <support@proxmox.com>  Mon, 27 Jul 2015 13:20:55 +0200
488
489 pve-firewall (2.0-4) unstable; urgency=medium
490
491   * include manual page for pve-firewall
492
493  -- Proxmox Support Team <support@proxmox.com>  Sat, 27 Jun 2015 16:26:28 +0200
494
495 pve-firewall (2.0-3) unstable; urgency=medium
496
497   * use noawait trigers for pve-api-updates
498
499  -- Proxmox Support Team <support@proxmox.com>  Mon, 01 Jun 2015 12:33:06 +0200
500
501 pve-firewall (2.0-2) unstable; urgency=medium
502
503   * trigger pve-api-updates event
504   
505  -- Proxmox Support Team <support@proxmox.com>  Tue, 05 May 2015 15:10:24 +0200
506
507 pve-firewall (2.0-1) unstable; urgency=medium
508
509   * recompile for debian jessie
510
511  -- Proxmox Support Team <support@proxmox.com>  Fri, 27 Feb 2015 12:22:04 +0100
512
513 pve-firewall (1.0-18) unstable; urgency=low
514
515   * fix alias lookup
516
517  -- Proxmox Support Team <support@proxmox.com>  Mon, 09 Feb 2015 09:32:03 +0100
518
519 pve-firewall (1.0-17) unstable; urgency=low
520
521   * fix restart behavior 
522
523  -- Proxmox Support Team <support@proxmox.com>  Thu, 15 Jan 2015 06:45:58 +0100
524
525 pve-firewall (1.0-16) unstable; urgency=low
526
527   * use new Daemon class from pve-common
528
529  -- Proxmox Support Team <support@proxmox.com>  Thu, 18 Dec 2014 09:45:07 +0100
530
531 pve-firewall (1.0-15) unstable; urgency=low
532
533   * bug fix: load cluster conf for host rules
534
535  -- Proxmox Support Team <support@proxmox.com>  Fri, 12 Dec 2014 06:33:28 +0100
536
537 pve-firewall (1.0-14) unstable; urgency=low
538
539   *  do not use ipset list chains
540   
541   *  remove preinst script (not needed anymore) 
542
543  -- Proxmox Support Team <support@proxmox.com>  Fri, 05 Dec 2014 13:42:00 +0100
544
545 pve-firewall (1.0-13) unstable; urgency=low
546
547   * fix ipset remove order
548
549  -- Proxmox Support Team <support@proxmox.com>  Fri, 28 Nov 2014 12:45:48 +0100
550
551 pve-firewall (1.0-12) unstable; urgency=low
552
553   * add preinst script to clear ipset from older installation (because 
554     sets cannot be swapped if there type does not match.
555   
556  -- Proxmox Support Team <support@proxmox.com>  Fri, 28 Nov 2014 08:59:38 +0100
557
558 pve-firewall (1.0-11) unstable; urgency=low
559
560   * bug fix: correctly set ipversion for aliases in verify_rule
561   
562   * save restore commands into files to make debugging 
563     easier (/var/lib/pve-firewall/)
564
565  -- Proxmox Support Team <support@proxmox.com>  Fri, 28 Nov 2014 08:04:05 +0100
566
567 pve-firewall (1.0-10) unstable; urgency=low
568
569   * add IPv6 support for VMs (hostfw is IPv4 only)
570
571  -- Proxmox Support Team <support@proxmox.com>  Wed, 26 Nov 2014 07:00:29 +0100
572
573 pve-firewall (1.0-9) unstable; urgency=low
574
575   * fix max ipset name name length
576
577  -- Proxmox Support Team <support@proxmox.com>  Tue, 14 Oct 2014 16:29:34 +0200
578
579 pve-firewall (1.0-8) unstable; urgency=low
580
581   * implement permission
582
583  -- Proxmox Support Team <support@proxmox.com>  Mon, 08 Sep 2014 12:15:21 +0200
584
585 pve-firewall (1.0-7) unstable; urgency=low
586
587   * proxy host rule API calls to correct node
588   
589   * always generate MAC and IP filter rules if firewall is enabled on NIC
590
591  -- Proxmox Support Team <support@proxmox.com>  Thu, 26 Jun 2014 07:12:57 +0200
592
593 pve-firewall (1.0-6) unstable; urgency=low
594
595   * ipmlement ipfilter ipsets
596
597  -- Proxmox Support Team <support@proxmox.com>  Thu, 12 Jun 2014 08:37:08 +0200
598
599 pve-firewall (1.0-5) unstable; urgency=low
600
601   * remove ipsets when firewall disabled
602
603  -- Proxmox Support Team <support@proxmox.com>  Wed, 04 Jun 2014 08:50:18 +0200
604
605 pve-firewall (1.0-4) unstable; urgency=low
606
607   * depend on iptables and ipset
608
609  -- Proxmox Support Team <support@proxmox.com>  Wed, 04 Jun 2014 06:45:33 +0200
610
611 pve-firewall (1.0-3) unstable; urgency=low
612
613   * change dh_installinit order (register pvefw-logger before pve-firewall)
614
615  -- Proxmox Support Team <support@proxmox.com>  Wed, 04 Jun 2014 06:24:21 +0200
616
617 pve-firewall (1.0-2) unstable; urgency=low
618
619   * add experimental nflog logging daemon
620
621  -- Proxmox Support Team <support@proxmox.com>  Thu, 13 Mar 2014 08:27:01 +0100
622
623 pve-firewall (1.0-1) unstable; urgency=low
624
625   * initial package
626
627  -- Proxmox Support Team <support@proxmox.com>  Mon, 03 Mar 2014 08:37:06 +0100
628